Im Auftrag von ADVANIS und GHR wurde im Rahmen des Masterstudienganges der ZHAW untersucht, wie das Thema Datenschutz bei Schweizer KMU beachtet, gewichtet und umgesetzt wird. Der nachfolgende Blogpost ist ein Auszug dieser Arbeit und umschreibt die aktuelle IST-Situation.
Befragt wurden Unternehmen aus den Branchen
- E-Commerce und Handel,
- Hotellerie und Gastronomie,
- Gesundheit und Bildung.
Im Rahmen der Befragung wurden die Unternehmen und deren Status quo bezüglich Datenschutz untersucht. Nebst der Frage nach der Wichtigkeit des Datenschutzes im Allgemeinen, wurden auch Punkte wie die Art der gespeicherten Daten, der Umgang mit den Daten, allfällige Risiken und Verantwortlichkeiten sowie Prozesse erfragt und analysiert.
Gute Noten im Datenschutz für E-Commerce und Handel
Auf die Frage nach einer meldepflichtigen Datensammlung konnte festgestellt werden, dass das Wissen hierzu vorhanden ist. Die Befragten konnten klar beurteilen werden, ob die Datensammlung meldepflichtig ist oder nicht.
Bezüglich der Verantwortlichkeiten beim Datenschutz ist die E-Commerce Branche gut, beziehungsweise deutlich besser als die anderen Branchen aufgestellt. Deutlich besser bedeutet in diesem Fall, dass die Zuständigkeiten meist klarer verteilt sind und die zuständigen Personen auch etwas über Datenschutz wissen. Ebenso Kundenbedürfnisse sind der Ablauf und die Richtlinien des Datenschutzes bei E-Commerce Unternehmen meist klar geregelt oder zumindest in schriftlicher Form festgehalten.
Fehleinschätzungen und latente Risiken prägen den Datenschutz in der Hotellerie und Gastronomie
Die befragten Hoteliers bewerten die Wichtigkeit des Datenschutzes stark unterschiedlich. Grundsätzlich sind die Befragten der Meinung, dass kaum sensible Daten gespeichert werden und aufgrund dessen dem Schutz vor Drittzugriff eine eher unwichtige Bedeutung zugeschrieben wird (Anmerkung des Bloggers: ich persönlich bin hier anderer Meinung, wenn man beachtet, dass hier auch Daten zu Essgewohnheiten, Alkoholkonsum, Zimmerbesuchen oder Pay-TV anfallen). Eine Ausnahme bilden hierbei die Kreditkarteninformationen. Diese werden mit grösster Sorgfalt gehandhabt und meist nur offline verwendet und danach vernichtet. Im Widerspruch dazu, dass der Datenschutz als unwichtig eingestuft wird, merken Hoteliers an, dass der Datenverlust eine grosse Gefahr darstelle.
Auf die Frage nach einer meldepflichtigen Datensammlung konnte festgestellt werden, dass das Wissen hierzu nur teils vorhanden ist. Es konnte nicht immer klar beurteilt werden, ob die Datensammlung meldepflichtig ist oder nicht. Im Allgemeinen ist die Rede von einer polizeilichen Meldepflicht, doch auch hier herrscht Uneinigkeit zwischen den Befragten.
Bezüglich Verantwortung ist der Datenschutz in Hotels entweder alleinige Sache des Eigentümers oder aber aller Mitarbeiter zu sein – beides ist falsch und muss eindeutiger geregelt werden. Hier darf gemäss Aussage eines Befragten nicht vergessen werden, dass die Mitarbeiter mitunter eines der grössten Risiken in Sachen Datenschutz darstellen. Man kann sagen, dass der Datenschutz beim Hotelier allein falsch angesiedelt ist. Als zentrales Organ der Unternehmung sind die Tätigkeiten zu vielfältig, um sich noch dieser Thematik zu widmen. Dies widerspiegelt sich im Fakt, dass ausser in einem Fall, nahezu keine Dokumentation der Datenschutzthematik vorgenommen wird. Alle Vorgehensweisen finden durch den Austausch unter den Mitarbeitern ihre Anwendung.
Die Gesundheitsbranche reduziert den Datenschutz auf das Arztgeheimnis – das greift zu kurz
In der Gesundheitsbranche ist der Datenschutz von zentraler Bedeutung. Die verwendeten Patientendaten sind hochsensibel und die Richtlinien des Ärztegeheimnisses stellen hierbei bereits hohe Anforderungen an Gesundheitsbetriebe. Grundsätzlich liegt der primäre Fokus auf der Sicherstellung des Arztgeheimnisses. Das grösste Risiko ist die Speicherung der Kundendaten. Egal ob physische oder digitale Speicherung, die Zustimmung zur Speicherung der Patientendaten muss zwingend ex ante erfolgen. Ein weiteres Risiko ist der Patientenschutz in Kombination mit einer offenen IT-Infrastruktur. Diese Thematik ist in einem Falle eines grösseren Gesundheitsbetriebes noch nicht abschliessend geklärt. Auf die Frage nach einer meldepflichtigen Datensammlung konnte festgestellt werden, dass das Wissen hierzu nur teilweise vorhanden ist. Die Befragten konnten nicht klar beurteilen, ob die Datensammlung meldepflichtig ist oder nicht – aufgrund der hohen Sensibilität der Daten sehr fragwürdig.
Mangelnde Konzepte und nicht identifizierte Risiken ist der normalfall bezüglich Datenschutz in Schweizer KMU’s
Das Risikomanagement ist von Unternehmen zu Unternehmen sehr unterschiedlich. Während die einen Unternehmen Datenschutzbeauftragte haben und alle Richtlinien klar geregelt sind, so ist in anderen Unternehmen primär das Arztgeheimnis der Leitfaden des Datenschutzes. Bei den übrigen Unternehmen wird der Datenschutz nur als eher wichtig bezeichnet. Da Schulen der internen Schweigepflicht unterliegen, kommunizieren diese beispielsweise entsprechende Informationen manchmal nur mündlich. Auf der anderen Seite stehen Gastronomiebetriebe, welche nur wenige Informationen über Ihre Kunden erhalten / speichern. Dies wird sich jedoch in Zukunft ändern, da sich Restaurants immer neue Möglichkeiten bieten, um deren Produkte zu verkaufen (Online-Bestellung, Treueprogramme, Newsletter, etc.)
Was deutlich fehlt, ist die Sensibilität über mögliche Risiken. Daraus folgt, dass auch kein Risikomanagement betrieben wird und die Verantwortlichkeiten nicht über die gesamte Thematik hinweg geregelt sind. So ist es typisch, dass das Einleiten von Massnahmen nur ex post erfolgt und kein proaktives Gefahrenmanagement vorhanden ist. In einzelnen Fällen gibt es bestimmte Personen welche gewisse Schlüsselaufgaben wahrnehmen, aber längst nicht alle Bereiche abdecken. Daneben stehen die Regelungen der Richtlinien, welche ebenso nicht vollständig geklärt sind, bzw. gar nicht geregelt sind.
Fazit: Wichtigkeit erkannt – Aber fehlende Gesamtsicht und mangelnde Proaktivität
Zusammenfassend gilt, dass der Datenschutz gemäss den Interviews eine allgegenwärtige Thematik in Unternehmen darstellt. So beschreibt eine deutliche Mehrzahl der Befragten den Datenschutz in ihrem Unternehmen als ziemlich bis sehr wichtig. Über die Branchen gesehen, sind trotz der einstimmigen Aussprachen Unterschiede ersichtlich. So stechen insbesondere die Hoteliers ins Auge, welche diese Thematik zwar als wichtig erachten, ihr Unternehmen jedoch Angreifern gegenüber nicht exponiert sehen. Nahezu alle befragten Unternehmen sind nicht in der Lage, einen vollumfänglichen Status quo für ihr Unternehmen zu definieren. Datenverlust, Datenintegrität, sonstige Risikofelder und Potentiale werden nicht oder zu wenig identifiziert / ausgeschöpft. Ein proaktives Gefahrenmanagement betreibt keines der befragten Unternehmen.
Wollen Sie mehr über die Studie erfahren? Weitere Auskunft erhalten Sie exklusiv bei Thomas Völkle von ADVANIS oder bei www.ghr.ch.
Mehr Informationen zum Datenschutz
Quelle: Master of Science (MSc) in Business Administration with a Specialization in Marketing / Masterstudiengang 2014 / Abgabedatum: 22.01.2016
